[发明专利]WLAN接入网络中传递成对主密钥的方法和系统

说明书

技术领域

本发明涉及到无线通信技术领域，特别涉及到一种WLAN接入网络中传递成对主密钥的方法和系统。

背景技术

随着互联网应用和智能终端的快速发展，WLAN应用已经非常普遍，很多公共场所被部署，用户可以通过手机、电脑等各种终端设备，随时随地访问互联网进行网上办公、娱乐等活动。通过无线局域网接入网络已是用户访问网络资源最重要的手段之一。

为了加强无线设备空口数据传输的安全性，IEEE 802.1X和IEEE802.11i定义了8021X+EAP接入认证方式和EAPOL-Key密钥协商机制。WLAN采用4-Way Handshake的密钥协商机制，促使无线服务端和接入客户端协商产生密钥PTK和GTK，产生的密钥用于无线设备之间空口数据的加解密，保护无线网络的可靠和安全。而在进行EAPOL-Key密钥协商前，无线接入客户端和无线服务端需要有相同的成对主密钥PMK（pairwise master key），使用802.1X+EAP接入认证方式，接入客户端可以在鉴权认证的过程获取PMK，而无线设备服务端是从AAA服务器发送的鉴权成功的授权信息中获取PMK。PMK是进行EAPOL-Key密钥协商的密钥素材，是进行EAPOL-Key密钥协商的基础。

现在实际组网部署中，无线用户STA的接入密钥协商点和接入认证点往往不是一个设备，通常采用BNG设备作为接入认证点，AP作为接入密钥协商点。接入客户端STA通过802.1X认证过程的MSK获取PMK，BNG可以从AAA服务器的授权信息中获取PMK，但AP却无法直接从AAA鉴权成功的授权信息中获取PMK。这样，就需要解决PMK在BNG和AP之间的传递接口的问题，而如果由BNG代理AP来与STA进行密钥协商，并通过特定隧道或特定协议接口传递PTK和GTK给AP，就会给BNG设备带来不必要的负担。现有技术中，在AC和BNG融合的设备上，通过扩展CAPWAP消息元素传递PMK或PTK/GTK给AP，但是这种方法对于AC和BNG分离的场景，则需要在AC和BNG间建立专用的接口（特定隧道接口或扩展某些协议）来传递PMK，而这个接口目前并非标准化接口，因而会导致兼容性差、互操作性差等问题。

发明内容

本发明的主要目的为提供一种WLAN接入网络中传递成对主密钥的方法和系统，旨在避免因接入认证点传递成对主密钥给密钥协商认证点造成的组网兼容性差和接口复杂等问题。

本发明提供一种WLAN接入网络中传递成对主密钥的方法，包括：

接入密钥协商点接收接入客户端发送的接入认证报文，在所述接入认证报文中扩展通告信息，并将扩展后的所述接入认证报文发送至接入认证点；

接入认证点获取接入客户端的身份信息，向认证服务端发送携带所述接入客户端的身份信息的接入请求报文；在接收到认证服务端根据所述接入请求报文返回的鉴权成功报文后，从其中获取成对主密钥，并根据之前获悉的所述通告信息对所述成对主密钥进行加密，将加密后所得到的密文封装在所述鉴权成功报文中发送至所述接入密钥协商点；

接入密钥协商点解密所述鉴权成功报文，获取所述成对主密钥，并重组不包含所述成对主密钥的鉴权成功报文发送至接入客户端。

优选地，所述通告信息至少包括所述接入密钥协商点的公钥和用于对成对主密钥进行加密的加密算法；所述公钥和加密算法可以本地配置，也可通过网络管理系统配置。

优选地，所述接入认证点获取接入客户端的身份信息，向认证服务端发送携带所述接入客户端的身份信息的接入请求报文；在接收到认证服务端根据所述接入请求报文返回的鉴权成功报文后，从其中获取成对主密钥，并根据之前获悉的所述通告信息对所述成对主密钥进行加密，将加密后所形成的密文封装在所述鉴权成功报文中发送至所述接入密钥协商点包括：

接入认证点处理所述接入认证报文，保存其中的通告信息，并发送用于索取接入客户端的身份信息的身份信息索取报文至接入密钥协商点，供接入密钥协商点将该身份信息索取报文转发至接入客户端；

接收接入密钥协商点转发的接入客户端回应的身份信息应答报文，将所述身份信息应答报文封装在用于向认证服务端请求接入WLAN的接入请求报文中，将该接入请求报文发送至认证服务端；

接收到认证服务端返回的鉴权成功报文后，从授权信息中获取成对主密钥，并通过之前所保存的所述通告信息中的加密算法和公钥对所述成对主密钥进行加密，将加密后所得到的密文封装在所述鉴权成功报文中转发至接入密钥协商点，供其将报文转发给接入客户端，告知其认证通过。